Données de santé non anonymisées : le Conseil d'Etat confirme les amendes infligées à Cegedim

Le Conseil d'État a confirmé les amendes prononcées par la Cnil à l'encontre de Cegedim santé et deux de ses filiales. En 2024, la Cnil a publié une délibération assortie d'une sanction de 800 000 euros à l'encontre de Cegedim Santé, indique le site Ticsanté. En cause, le fait que les données collectées par le logiciel de gestion de cabinet Crossway n'étaient pas anonymisées, mais seulement pseudonymisées, c'est-à-dire qu'il était possible de réidentifier les personnes concernées.

Cegedim santé et ses filiales Gers et Santestat ont contesté cette délibération, ainsi que deux autres condamnant respectivement Gers à 200 000 euros d'amende et Santestat à 800 000 euros pour des faits connexes. Le Conseil d'État a confirmé l'analyse de la Cnil et maintenu les sanctions.

Les données concernées sont issues de deux bases de données différentes : Thin pour celles collectées auprès de médecins, et Gers études clients pour celles récupérées auprès de pharmacies d'officine. "Il ressort des délibérations attaquées, et n'est pas contesté par les sociétés requérantes, que fin mars 2021, la société Gers disposait, dans la base de données 'Thin', de données relatives à 13,4 millions de consultations associées à 4 millions de codes patients et, dans la base de données 'Gers études clients', d'environ 78 millions d'identifiants de clients pour les 8 500 pharmacies dont elle recueillait les données", précise la décision du Conseil d'État, également consultée par Egora. 

"Des éléments d'identification"

Cegedim possédait donc un amas de données qui "incluaient des éléments d'identification comme l'âge, le sexe ou la catégorie socio-professionnelle, ainsi que des données de santé telles que, notamment, le dossier médical, les prescriptions, les arrêts de travail, les vaccinations, pour les données transmises par les médecins, et les médicaments achetés et le prescripteur, pour les données transmises par les pharmacies", énumère le Conseil d'État.

Cegedim collectait aussi "des éléments comme la date et parfois l'heure exacte de la visite médicale ou de l'achat ainsi que des éléments directs ou indirects de localisation ou d'identification des professionnels de santé" tels que "les données des prescripteurs, notamment leurs identifiants Adeli et RPPS, qui permettent de connaître l'identité du professionnel de santé par simple recours à un moteur de recherche publiquement accessible en ligne", précise Tic Santé. Ainsi "il est possible, à partir de ces données, de retracer des parcours de soins et d'individualiser des clients et leurs pathologies", souligne le Conseil d'État dans sa décision.

Par ailleurs, les données collectées l'ont été sans recueil du consentement des personnes, souligne Ticsanté. Le Conseil d'État a rejeté l'argument de Cegedim, qui arguait que le droit en vigueur n'était pas clair sur ce point. Cegedim s'est défendu en avançant que les demandes d'autorisation en question ont été déposées au cours de la procédure de la sanction, mais cette circonstance "est sans incidence sur l'appréciation du montant des sanctions pour les manquements constatés", a statué le Conseil d'État.

Cegedim n'aurait pas dû non plus collecter de données issues du téléservice HRi, qui contient des données de remboursement ou de prise en charge des organismes d'assurance maladie, indique Ticsanté. "Seuls les médecins peuvent consulter les données issues des procédures de remboursement via le téléservice HRi", rappelle le Conseil d'État. Or, l'instruction a montré, "sans que ce soit sérieusement contesté, que le dossier informatisé du patient dans le logiciel Crossway […] reçoit automatiquement les données issues du téléservice HRi dès lors que le médecin consulte ces données, sans que le médecin puisse décider de les consulter sans les télécharger, de telle sorte que ce logiciel permet à la société Cegedim santé de collecter toutes les données des patients issues du téléservice HRi que les médecins consultent."

[avec TICsanté]